按类目授权
资源授权模式说明
适用资源类型
- 指标/指标类目
- 数据集/数据集类目
权限角色定义
类目权限
| 角色 | 操作权限 |
|---|---|
| 所有者 | - 含 可管理 权限 - 可授予他人 可管理 角色 - 可删除/转交类目 |
| 可管理 | - 含 可新建 权限 - 可授予他人 可新建/可使用 角色 - 自动继承 子类目和资源的 所有者 角色 |
| 可新建 | - 含 可使用 权限 - 可在类目下 新建指标或子类目 |
| 可使用 | - 可查询类目下 全部指标 |
| 可见 | - 可查看类目下子类目及指标的 元信息 |
资源权限
| 角色 | 操作权限 |
|---|---|
| 所有者 | - 含 可管理 权限 - 可授予他人 可管理 角色 - 可删除/转交资源 |
| 可管理 | - 含 可使用 权限 - 可授予他人 可使用 角色 - 可编辑资源 |
| 可使用 | - 可在查询中 使用该资源 |
| 可见 | - 可查看资源 元信息 |
类目→资源的权限继承映射
| 类目角色 | 继承至资源的角色 |
|---|---|
| 所有者 | 所有者 |
| 可管理 | 所有者 |
| 可新建 | 可使用 |
| 可使用 | 可使用 |
💡 继承原则:子类目/资源默认继承父类目权限,但父类目限制优先于子类目开放。
类目可见性规则
可见性范围定义
| 类型 | 说明 |
|---|---|
| 全员可见 | 类目元数据默认对所有用户开放 |
| 指定用户可见 | 元数据仅对以下用户可见: - 被加入访问白名单的用户 - 拥有 使用+ 权限的用户 |
核心规则
- 父级限制优先
-若父类目为 指定用户可见,所有子类目/资源均不可见(即使子节点设全员可见)。
- 子级限制不继承
-若父类目全员可见而子类目限制可见,未授权用户仅能看到父类目(无法查看子节点)。
- 权限用户可见性保障
-拥有 使用+ 权限的用户始终能查看完整资源路径。
案例解析
案例一:父节点开放,子节点限制
- 配置
-结构:类目A(全员可见)→ 类目B(全员可见)→ 指标C(指定用户可见)
- 用户权限与可见内容
| 用户 | 权限 | 可见内容 |
|---|---|---|
| X | 类目A 可使用 | 类目A、类目B、指标C(通过父类目继承) |
| Y | 指标C 直接授权 | 类目A→类目B→指标C(完整路径) |
| Z | 无权限 | 仅类目A |
案例二:父节点限制,子节点开放
- 配置
-结构:类目A(指定用户可见)→ 类目B(全员可见)→ 指标C(全员可见)
- 用户权限与可见内容
| 用户 | 权限 | 可见内容 |
|---|---|---|
| X | 类目A 可使用 | 类目A、类目B、指标C |
| Y | 指标C 直接授权 | 指标C(无完整路径,仅直达资源) |
| Z | 无权限 | 不可见任何内容 |
案例三:父节点限制 + 子节点限制
- 配置
-结构:类目A(指定用户可见)→ 类目B(全员可见)→ 指标C(指定用户可见)
- 用户权限与可见内容
| 用户 | 权限 | 可见内容 |
|---|---|---|
| X | 指标C 可见,无类目A权限 | 不可见(父类目限制阻断访问) |
权限特性总结
| 能力 | 类目权限 | 资源权限 |
|---|---|---|
| 可见性范围控制 | ✓ | ✗ |
| 新建子类目/指标 | ✓(仅可新建角色) | ✗ |
| 继承资源所有者角色 | ✓(可管理角色) | ✗ |